Tiêu chuẩn bảo mật dữ liệu camera Việt Nam 2026

Từ ngày 1/7/2026, mọi hệ thống camera giám sát tại Việt Nam phải tuân thủ QCVN 11:2026/BCA — quy chuẩn kỹ thuật quốc gia lần đầu tiên bắt buộc lưu trữ dữ liệu nội địa, mã hóa end-to-end và kiểm toán log. Đây không chỉ là yêu cầu kỹ thuật, mà còn là điều kiện pháp lý để doanh nghiệp tránh phạt hành chính lên tới 50-100 triệu đồng. Bài viết này giải mã chi tiết các tiêu chuẩn bảo mật dữ liệu camera theo quy định hiện hành, giúp quản lý IT và an ninh doanh nghiệp thiết kế hệ thống tuân thủ pháp luật.

Bảo mật dữ liệu camera là gì theo quy định Việt Nam?

Ba quy định bắt buộc cho hệ thống camera Việt Nam

Hệ thống camera giám sát tại Việt Nam phải tuân thủ ba quy định chính, mỗi quy định đặt ra các yêu cầu khác nhau về bảo mật dữ liệu. Hiểu rõ từng quy định là bước đầu tiên để thiết kế hệ thống camera đạt chuẩn pháp luật.

1. PDPA (Luật Bảo vệ Dữ liệu Cá nhân 2023) — Bảo vệ quyền cá nhân

• Yêu cầu chính: Camera phải được cấu hình để xử lý dữ liệu cá nhân tại Việt Nam. Không được lưu trữ hình ảnh khuôn mặt, thông tin nhân dân học trên máy chủ nước ngoài.
• Thời gian lưu trữ: Dữ liệu cá nhân phải được xóa sau 30-90 ngày (tùy loại doanh nghiệp), trừ khi có yêu cầu pháp lý hoặc hợp đồng.
• Quyền cá nhân: Người dân có quyền yêu cầu xóa dữ liệu hình ảnh của mình. Doanh nghiệp phải xóa trong 15 ngày làm việc.
• Phạt vi phạm: 20-50 triệu đồng nếu lưu trữ dữ liệu cá nhân nước ngoài mà không có lý do hợp pháp.

2. ATTT (Luật An toàn Thông tin 2015) — Bảo vệ an toàn thông tin quốc gia

• Yêu cầu chính: Hệ thống camera phải có kiểm soát truy cập (access control), mã hóa dữ liệu, và kiểm toán log tự động.
• Mã hóa bắt buộc: Dữ liệu camera phải mã hóa end-to-end khi truyền qua mạng Internet hoặc lưu trữ trên cloud.
• Kiểm toán log: Phải ghi lại tất cả hoạt động truy cập, xóa, sửa dữ liệu camera. Log phải lưu trữ ≥ 90 ngày.
• Phạt vi phạm: 30-100 triệu đồng nếu không có kiểm toán log hoặc mã hóa dữ liệu.

3. QCVN 11:2026/BCA (Quy chuẩn Kỹ thuật Quốc gia) — Yêu cầu kỹ thuật camera IP

• Lưu trữ nội địa bắt buộc: Lần đầu tiên Việt Nam bắt buộc camera phải có khả năng cấu hình lưu trữ dữ liệu tại Việt Nam. Đây là điều kiện bắt buộc từ 1/7/2026 cho mọi thương hiệu (nội địa + nhập khẩu).
• Xác thực hai yếu tố (MFA): Truy cập vào NVR/camera phải qua password + OTP/biometric, không chấp nhận chỉ password.
• Cập nhật bảo mật: Camera phải nhận được cập nhật bảo mật ≥ 2 lần/năm từ nhà sản xuất.
• Kiểm tra lỗ hổng: Nhà sản xuất phải công bố danh sách lỗ hổng bảo mật đã sửa chữa hàng quý.

Các yêu cầu kỹ thuật cụ thể cho NVR và hệ thống lưu trữ

NVR (Network Video Recorder) là trung tâm lưu trữ dữ liệu camera. Để tuân thủ pháp luật, NVR phải đáp ứng 5-7 yêu cầu kỹ thuật cụ thể về mã hóa, access control, kiểm toán và backup.

Mã hóa dữ liệu (Encryption)

• Mã hóa truyền tải (TLS 1.2+): Dữ liệu từ camera → NVR phải mã hóa bằng TLS 1.2 trở lên. KHÔNG chấp nhận HTTP (chỉ HTTPS).
• Mã hóa lưu trữ (AES-256): Dữ liệu trên ổ cứng NVR phải mã hóa AES-256. Nếu ổ cứng bị mất, không thể đọc dữ liệu.
• Quản lý khóa (Key Management): Khóa mã hóa phải được lưu trữ riêng biệt, không được lưu cùng dữ liệu. Khóa phải được thay đổi ≥ 1 lần/năm.
• Kiểm tra tuân thủ: Yêu cầu nhà cung cấp cung cấp chứng chỉ mã hóa (vd Common Criteria EAL 3+ hoặc FIPS 140-2).

Kiểm soát truy cập (Access Control)

• Phân quyền người dùng: NVR phải hỗ trợ ≥ 5 cấp độ quyền (Admin, Supervisor, Operator, Viewer, Guest). Mỗi cấp độ có quyền hạn riêng.
• Xác thực hai yếu tố (MFA): Truy cập vào NVR từ ngoài mạng nội bộ (remote access) PHẢI qua MFA: password + OTP (SMS/email) hoặc vân tay/khuôn mặt.
• Khóa tài khoản tự động: Nhập sai mật khẩu ≥ 5 lần liên tiếp → tài khoản bị khóa 15 phút tự động.
• Đăng xuất tự động: Session remote access phải tự động đăng xuất sau 30 phút không hoạt động.

Kiểm toán log (Audit Log)

• Ghi lại toàn bộ hoạt động: NVR phải ghi log tất cả: đăng nhập, đăng xuất, xem video, xóa video, thay đổi cấu hình, thay đổi người dùng, sự cố hệ thống.
• Thời gian lưu trữ log: Log phải lưu trữ ≥ 90 ngày. Khuyến cáo lưu trữ ≥ 180 ngày để phục vụ điều tra.
• Bảo vệ log: Log phải được mã hóa và lưu trữ trên ổ cứng riêng (không được xóa khi xóa video). Log không được phép sửa đổi (write-once, read-many).
• Xuất báo cáo: Quản trị viên phải có khả năng xuất báo cáo log theo thời gian, người dùng, hoặc loại sự kiện để kiểm tra.

Lưu trữ nội địa (Data Residency)

• Máy chủ tại Việt Nam: NVR hoặc cloud storage phải đặt tại Việt Nam (có địa chỉ IP Việt Nam). KHÔNG được lưu trữ trên cloud nước ngoài (AWS Singapore, Google Cloud US, v.v.).
• Cấu hình bắt buộc: Camera phải có giao diện cho phép quản trị viên chỉ định vị trí lưu trữ dữ liệu tại Việt Nam. KHÔNG được để mặc định lưu trữ nước ngoài.
• Kiểm chứng địa chỉ IP: Doanh nghiệp phải cung cấp chứng chỉ từ nhà cung cấp cloud hoặc ISP Việt Nam xác nhận dữ liệu lưu trữ tại Việt Nam.

Xóa dữ liệu định kỳ (Data Retention & Deletion)

• Thời gian lưu trữ mặc định: Video camera phải được xóa tự động sau 30-90 ngày (tùy chính sách doanh nghiệp). ATTT yêu cầu xóa dữ liệu cá nhân không còn cần thiết.
• Xóa an toàn: Dữ liệu xóa phải sử dụng phương pháp xóa an toàn (secure wipe), không chỉ xóa file thông thường. Khuyến cáo sử dụng chuẩn NIST SP 800-88 (ghi đè 3-7 lần).
• Báo cáo xóa: NVR phải ghi log tất cả hoạt động xóa (thời gian, lý do, người xóa). Log xóa phải lưu trữ ≥ 1 năm.

Bảng so sánh các quy định bảo mật camera

Quy định	Yêu cầu chính	Phạt vi phạm
PDPA (2023)	Lưu trữ dữ liệu cá nhân tại VN, xóa sau 30-90 ngày, cấp quyền xóa cho cá nhân	20-50 triệu đồng
ATTT (2015)	Mã hóa end-to-end, access control, kiểm toán log ≥ 90 ngày	30-100 triệu đồng
QCVN 11:2026	Lưu trữ nội địa bắt buộc, MFA, cập nhật bảo mật ≥ 2 lần/năm, kiểm tra lỗ hổng hàng quý	50-100 triệu đồng + tịch thu thiết bị

Sai lầm thường gặp khi triển khai camera an toàn

Bảng kiểm tra tuân thủ pháp luật cho hệ thống camera

Tiêu chí	Yêu cầu	Tình trạng
Lưu trữ nội địa	NVR/Cloud tại Việt Nam, có chứng chỉ từ ISP/Cloud provider	☐ Đạt | ☐ Chưa đạt
Mã hóa dữ liệu	TLS 1.2+ khi truyền, AES-256 khi lưu trữ, quản lý khóa riêng	☐ Đạt | ☐ Chưa đạt
MFA	Remote access NVR bắt buộc password + OTP/biometric	☐ Đạt | ☐ Chưa đạt
Kiểm toán log	Ghi log ≥ 90 ngày, lưu trữ riêng biệt, bảo vệ khỏi sửa đổi	☐ Đạt | ☐ Chưa đạt
Xóa dữ liệu	Video xóa tự động sau 30-90 ngày, sử dụng secure wipe	☐ Đạt | ☐ Chưa đạt
Cập nhật bảo mật	Nhà sản xuất cung cấp cập nhật ≥ 2 lần/năm	☐ Đạt | ☐ Chưa đạt
Phân quyền người dùng	≥ 5 cấp độ quyền, từng người dùng có log riêng	☐ Đạt | ☐ Chưa đạt

Lựa chọn NVR tuân thủ tiêu chuẩn bảo mật Việt Nam

Khi lựa chọn NVR, cần kiểm tra 4 yêu cầu chính: hỗ trợ lưu trữ nội địa, mã hóa end-to-end, kiểm toán log bảo vệ, và cập nhật bảo mật từ nhà sản xuất. Các nhà sản xuất như Hikvision, Dahua, ZKTeco đã cập nhật firmware để tuân thủ QCVN 11:2026 từ Q1 2026.

Tiêu chí lựa chọn NVR

• Giao diện cấu hình lưu trữ nội địa: NVR phải có menu cho phép chỉ định vị trí lưu trữ dữ liệu tại Việt Nam. Không được để mặc định lưu trữ nước ngoài.
• Hỗ trợ HTTPS/TLS 1.2+: Tất cả kết nối từ camera → NVR → client phải mã hóa. Kiểm tra bằng cách truy cập NVR qua IP address, nếu xuất hiện cảnh báo SSL/TLS là tốt.
• Kiểm toán log chi tiết: NVR phải có menu "Audit Log" hoặc "System Log" cho phép xuất báo cáo theo ngày/người dùng/loại sự kiện. Log phải lưu trữ ≥ 90 ngày.
• MFA cho remote access: Khi cấu hình remote access, NVR phải bắt buộc thiết lập OTP (SMS/email) hoặc xác thực sinh trắc học. KHÔNG chấp nhận chỉ password.
• Chứng chỉ bảo mật: Nhà sản xuất phải cung cấp chứng chỉ Common Criteria EAL 3+, FIPS 140-2, hoặc báo cáo kiểm toán bảo mật từ tổ chức độc lập.
• Hỗ trợ cập nhật bảo mật: Nhà sản xuất phải công bố lộ trình cập nhật ≥ 2 lần/năm, danh sách lỗ hổng đã sửa chữa hàng quý.

So sánh NVR phổ biến tuân thủ QCVN 11:2026

Nhà sản xuất	Mô hình	Lưu trữ nội địa	Mã hóa AES-256	Kiểm toán log
Hikvision	DS-7608NI-K2/8P	✓ (Firmware 2026+)	✓	✓ (90 ngày)
Dahua	DHI-NVR5432-16P-4KS2E	✓ (Firmware 2026+)	✓	✓ (90 ngày)
ZKTeco	Z-NVR-Pro 16CH	✓ (Firmware 2026+)	✓	✓ (180 ngày)

Quy trình triển khai hệ thống camera tuân thủ pháp luật

Triển khai camera tuân thủ bảo mật Việt Nam gồm 5 giai đoạn chính: lập kế hoạch, chọn thiết bị, cấu hình, kiểm chứng, và giám sát liên tục. Mỗi giai đoạn có các bước cụ thể để đảm bảo tuân thủ PDPA, ATTT, QCVN 11:2026.

5 bước triển khai hệ thống camera an toàn pháp lý

1. Bước 1: Lập kế hoạch bảo mật (Tuần 1-2)
   • Xác định loại dữ liệu camera: hình ảnh khuôn mặt (nhạy cảm), hoạt động nhân viên (bình thường), hoạt động khách hàng (bình thường).
   • Xác định thời gian lưu trữ: dữ liệu nhạy cảm 30 ngày, dữ liệu bình thường 60-90 ngày.
   • Lập danh sách người dùng: Admin, Supervisor, Operator, Viewer. Mỗi người dùng có username + MFA riêng.
   • Chọn vị trí NVR: phòng IT an toàn, có UPS, backup điện, khóa cửa, camera giám sát phòng IT.
2. Bước 2: Chọn thiết bị tuân thủ (Tuần 2-3)
   • Yêu cầu nhà cung cấp cung cấp chứng chỉ QCVN 11:2026 hoặc báo cáo kiểm toán bảo mật.
   • Kiểm tra firmware NVR có hỗ trợ lưu trữ nội địa, MFA, kiểm toán log, mã hóa AES-256.
   • Yêu cầu nhà cung cấp cung cấp lộ trình cập nhật bảo mật ≥ 2 lần/năm.
3. Bước 3: Cấu hình hệ thống (Tuần 3-4)
   • Cấu hình NVR: chỉ định vị trí lưu trữ dữ liệu tại Việt Nam, bật mã hóa AES-256, bật HTTPS/TLS 1.2+.
   • Cấu hình camera: tắt cloud nước ngoài, bật HTTPS, cấu hình resolution phù hợp (2-4MP cho văn phòng, 8MP cho nhà máy).
   • Cấu hình người dùng: tạo tài khoản Admin, Supervisor, Operator, Viewer. Mỗi tài khoản có password mạnh (≥ 12 ký tự, mix số + chữ + ký tự đặc biệt). Bật MFA cho Admin + Supervisor.
   • Cấu hình kiểm toán log: bật ghi log tất cả sự kiện, chỉ định thời gian lưu trữ log ≥ 90 ngày, cấu hình lưu trữ log trên ổ cứng riêng hoặc server syslog ngoài.
   • Cấu hình xóa dữ liệu: chỉ định thời gian xóa tự động video (30-90 ngày), bật secure wipe.
4. Bước 4: Kiểm chứng tuân thủ (Tuần 4)
   • Kiểm tra lưu trữ nội địa: truy cập NVR, kiểm tra IP address lưu trữ dữ liệu có phải Việt Nam. Yêu cầu nhà cung cấp cloud cung cấp chứng chỉ.
   • Kiểm tra mã hóa: truy cập NVR qua HTTPS, kiểm tra SSL/TLS certificate. Sử dụng wireshark bắt gói tin từ camera → NVR, kiểm tra dữ liệu có mã hóa.
   • Kiểm tra MFA: đăng nhập remote access NVR, kiểm tra bắt buộc OTP/biometric.
   • Kiểm tra kiểm toán log: xuất báo cáo log, kiểm tra ghi lại đầy đủ đăng nhập, đăng xuất, xem video, xóa video.
   • Lập báo cáo tuân thủ: ghi lại kết quả kiểm chứng, ký tên của IT Manager + An ninh Manager.
5. Bước 5: Giám sát liên tục (Hàng tháng)
   • Hàng tuần: kiểm tra NVR có hoạt động bình thường, không có cảnh báo bảo mật, log không bị xóa.
   • Hàng tháng: xuất báo cáo kiểm toán log, kiểm tra hoạt động đăng nhập bất thường, xóa video bất thường.
   • Hàng quý: kiểm tra cập nhật bảo mật từ nhà sản xuất, cập nhật firmware NVR + camera.
   • Hàng năm: kiểm toán toàn bộ hệ thống camera, lập báo cáo tuân thủ PDPA + ATTT + QCVN 11:2026, ký tên của Giám đốc.

Câu hỏi thường gặp

Bảo mật dữ liệu camera không chỉ là yêu cầu pháp lý, mà còn là trách nhiệm bảo vệ quyền riêng tư nhân viên và khách hàng. Nếu bạn cần tư vấn triển khai hệ thống camera tuân thủ QCVN 11:2026, PDPA, ATTT cho doanh nghiệp, hãy liên hệ An Ninh Số ngay hôm nay. Đội ngũ chuyên gia an ninh của chúng tôi sẽ giúp bạn lập kế hoạch bảo mật chi tiết, chọn thiết bị tuân thủ, cấu hình hệ thống, và kiểm chứng tuân thủ pháp luật. Hotline: 0796 700 777.